卡饭论坛 » 防火墙讨论区 » LNS & CHX-I » ARP 规则失效问题

105485475 发表于 2007-10-23 16:07

ARP 规则失效问题

本人自定了防ARP攻击也就是倒数第二为禁止
在第一条加了允许后
可包还是被倒数第二条拦下了
实在有点想不通
符图如下

haixuling 发表于 2007-10-23 22:33

LNS防ARP的默认规则要三条,
第一,传入,以太网,网关MAC,下面全部,目标以太网,本机MAC
第二,传出,以太网,本机MAC,下面全部,目标以太网,FF:FF;FF;FF;FF;FF:FF
第三,阻止所有ARP

105485475 发表于 2007-10-24 08:16

我只是把FF:FF;FF;FF;FF;FF:FF改成全部
这样不成吗

kokosu 发表于 2007-11-6 20:17

我按照二楼的方法设置了，但是打不开网页。退出LNS才能打开网页。

kokosu 发表于 2007-11-6 20:22

ARP协议用来解析IP与MAC的对应关系，所以用下列方法可以实现抗拒网络执法官的控制。
如果你的机器不准备与局域网中的机器通讯，那么可以使用下述方法：
　　A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则，在这个规则前面打上禁止标志；
　　B.但这个规则默认会把网关的信息也禁止了，处理的办法是把网关的MAC地址（通常网关是固定的）放在这条规则的“目标”区，在“以太网：地址”里选择“不等于”，并把网关的MAC地址填写在那时；把自己的MAC地址放在“来源”区，在“以太网：地址”里选择“不等于”。
　　C.在最后一条“All other packet”里，修改这条规则的“目标”区，在“以太网：地址”里选择“不等于”，MAC地址里填FF:FF:FF:FF:FF:FF；把自己的MAC地址放在“来源”区，在“以太网：地址”里选择“不等于”。其它不改动。
　　这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯，且网关地址是固定的情况下。
　　如果你的机器需要与局域网中的机器通讯，仅需要摆脱网络执法官的控制，那么下述方法更简单实用（此方法与防火墙无关）：
　　进入命令行状态，运行“ARP -s 网关IP 网关MAC”就可以了，想获得网关的MAC，只要Ping一下网关，然后用Arp -a命令查看，就可以得到网关的IP与MAC的对应。此方法应该更具通用性，而且当网关地址可变时也很好操作，重复一次“ARP -s 网关IP 网关MAC”就行了。此命令作用是建立静态的ARP解析表。

kokosu 发表于 2007-11-6 20:23

《LNS防火墙中级使用指南》是上面我发的那样设置的。不知道哪种方法是对的？

ktango 发表于 2007-11-6 20:25

[quote]原帖由 [i]kokosu[/i] 于 2007-11-6 20:17 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2020877&ptid=147261][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
我按照二楼的方法设置了，但是打不开网页。退出LNS才能打开网页。 [/quote]

兄弟的意思是逊能连上网络但打不开网页？理论上防御ARP攻击规则不会影响浏览网页。

ktango 发表于 2007-11-6 20:34

回复 6楼 kokosu 的帖子

请楼主叁考以下的防御ARP攻击规则。

[quote]
以前写LNS中级使用指南时有疏忽，使得按原指南中的方法在某些情况下不能防范ARP欺骗，故重新写供大家参考。

网络执法官、网络终结者等是利用ARP欺骗（通过广播声明自己是网关）来达到控制局域网内其它计算机网络连接目的的。　　
  ARP协议用来解析IP与MAC的对应关系，所以用下列方法可以实现抗拒网络执法官等的控制。

方法一如下（下述三个步骤必须全部完成）：
  ①.添加一条新规则，“以太网：类型”选择“ARP”，“方向”选择“传入”，在“来源”区--“以太网：地址”--“等于”--“网关的MAC地址”；在“目标”区--“以太网：地址”--“等于”--“本机的MAC地址”，其它选项不作任何改动，保存并允许该规则。见图17。

  ②.再添加一条新规则，“以太网：类型”选择“ARP”，“方向”选择“传出”，在“来源”区--“以太网：地址”--“等于”--“本机的MAC地址”；在“目标”区--“以太网：地址”--“等于”--“FF:FF:FF:FF:FF:FF”，其它选项不做任何改动，保存并允许该规则。见图18。

   ③.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则，在这个规则前面打上禁止标志。

方法二   注：有些使用了上述规则不能网的请使用如下方法（因为上述可能过于严厉）
  ①.添加一条新规则，“以太网：类型”选择“ARP”，“方向”选择“双向”，在“来源”区--“以太网：地址”--“等于”--“本机的MAC地址”；在“目标”区--“以太网：地址”--“等于”--“网关的MAC地址”，其它选项不作任何改动，保存并允许该规则。

  ②.再添加一条新规则，“以太网：类型”选择“ARP”，“方向”选择“传出”，在“来源”区--“以太网：地址”--“等于”--“本机的MAC地址”；在“目标”区--“以太网：地址”--“等于”--“FF:FF:FF:FF:FF:FF”，其它选项不做任何改动，保存并允许该规则。
   ③.再添加一条新规则，“以太网：类型”选择“ARP”，“方向”选择“传入”，在“来源”区--“以太网：地址”--“等于”--“网关的MAC地址”；在“目标”区--“以太网：地址”--“等于”--“FF:FF:FF:FF:FF:FF”，其它选项不做任何改动，保存并允许该规则。

   ④.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则，在这个规则前面打上禁止标志。

  此时不能与局域网任何其它机器通讯了，如果要通讯，再添加如①的规则，把“方向”改为“双向”，把“网关的MAC地址”改为“本机的MAC地址”，把“信任机器的MAC地址”放在与“本机的MAC地址”对就的另一边。每信任一台机器，添加一条类似规则即可。
  
  完成上述设置后，ARP欺骗就可以成功防范了。[/quote]

AUTO1980 发表于 2007-11-7 11:12

学习     上次看的教程好像没这个详细      
只要求设置2条    难怪上不了

kokosu 发表于 2007-11-7 12:35

谢谢ktango大哥的帮助。可以防ARP了。

[[i] 本帖最后由 kokosu 于 2007-11-7 13:29 编辑 [/i]]

Joyfulbetty 发表于 2007-11-7 15:13

我是设置成：
1，out：本机到all
2, in， 网关到all
3，in and out， 本机到网关

查看完整版本: ARP 规则失效问题